我被恐吓了,对方扬言要压测我的网站

已于 2024-05-27 16:27:05 修改
阅读量472 收藏 6
点赞数 6
分类专栏: Java 开发宝典🔥 文章标签: java 面试
于 2024-05-27 16:24:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LHCong_/article/details/139241433
版权

大家好我是聪,昨天真是水逆,在技术群里交流问题,竟然被人身攻击了!骂的话太难听具体就不加讨论了,人身攻击我可以接受,我接受不了他竟然说要刷我接口!!!!这下激发我的灵感来写一篇如何抵御黑子的压测攻击,还真得要谢谢他。

image-20240523081706355.png

🔥本次的自动加入黑名单拦截代码已经上传到短链狗,想学习如何生成一个短链可以去我的 Github 上面查看哦,项目地址:https://github.com/lhccong/short-link-dog-backend

思维发散

如果有人要攻击我的网站,我应该从哪些方面开始预防呢,我想到了以下几点,如何还有其他的思路欢迎大家补充:

  1. 从前端开始预防!

    聪 A🧑:确实是一种办法,给前端 ➕ 验证码、短信验证,或者加上谷歌认证(用户说:我谢谢你哈,消防栓)。

    聪 B🧑:再次思考下还是算了,这次不想动我的前端加上如何短信验证还消耗我的💴,本来就是一个练手项目,打住❌。

  2. 人工干预!

    聪 A🧑:哇!人工干预很累的欸,拜托。

    聪 B🧑:那如果是定时人工检查进行干预处理,辅助其他检测手段呢,是不是感觉还行!

  3. 使用网关给他预防!

    聪 A🧑:网关!好像听起来不错。

    聪 B🧑:不行!我项目都没有网关,单单为了黑子增加一个网关,否决❌。

  4. 日志监控!

    聪 A🧑:日志监控好像还不错欸,可以让系统日志的输出到时候统一监控,然后发短信告诉我们。

    聪 B🧑:日志监控确实可以,发短信还是算了,拒绝一切花销哈❌。

  5. 我想到了!后端 AOP 拦截访问限流,通过自动检测将 IP + 用户ID 加入黑名单,让黑子无所遁形。

    聪 A🧑:我觉得可以我们来试试?

    聪 B🧑:还等什么!来试试吧!

功能实现

设置 AOP 注解

1)获取拦截对象的标识,这个标识可以是用户 ID 或者是其他。

2)限制频率。举个例子:如果每秒超过 10 次就直接给他禁止访问 1 分钟或者 5 分钟。

3)加入黑名单。举个例子:当他多次触发禁止访问机制,就证明他还不死心还在刷,直接给他加入黑名单,可以是永久黑名单或者 1 天就又给他放出来。

4)获取后面回调的方法,会用反射来实现接口的调用。

有了以上几点属性,那么注解设置如下:

/**
 * 黑名单拦截器
 *
 * @author cong
 * @date 2024/05/23
 */
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.TYPE, ElementType.METHOD})
public @interface BlacklistInterceptor {/**
     * 拦截字段的标识符
     *
     * @return {@link String }
     */
    String key() default "default";;/**
     * 频率限制 每秒请求次数
     *
     * @return double
     */
    double rageLimit() default 10;/**
     * 保护限制 命中频率次数后触发保护,默认触发限制就保护进入黑名单
     *
     * @return int
     */
    int protectLimit() default 1;/**
     * 回调方法
     *
     * @return {@link String }
     */
    String fallbackMethod();
}

设置切面具体实现

@Aspect
@Component
@Slf4j
public class RageLimitInterceptor {
    private final Redisson redisson;private RMapCache<String, Long> blacklist;
    // 用来存储用户ID与对应的RateLimiter对象
    private final Cache<String, RRateLimiter> userRateLimiters = CacheBuilder.newBuilder()
            .expireAfterWrite(1, TimeUnit.MINUTES)
            .build();public RageLimitInterceptor(Redisson redisson) {
        this.redisson = redisson;
        if (redisson != null) {
            log.info("Redisson object is not null, using Redisson...");
            // 使用 Redisson 对象执行相关操作
            // 个人限频黑名单24h
            blacklist = redisson.getMapCache("blacklist");
            blacklist.expire(24, TimeUnit.HOURS);// 设置过期时间
        } else {
            log.error("Redisson object is null!");
        }
    }
​
​
    @Pointcut("@annotation(com.cong.shortlink.annotation.BlacklistInterceptor)")
    public void aopPoint() {
    }@Around("aopPoint() && @annotation(blacklistInterceptor)")
    public Object doRouter(ProceedingJoinPoint jp, BlacklistInterceptor blacklistInterceptor) throws Throwable {
        String key = blacklistInterceptor.key();// 获取请求路径
        RequestAttributes requestAttributes = RequestContextHolder.currentRequestAttributes();
        HttpServletRequest httpServletRequest = ((ServletRequestAttributes) requestAttributes).getRequest();
        //获取 IP
        String remoteHost = httpServletRequest.getRemoteHost();
        if (StringUtils.isBlank(key)) {
            throw new BusinessException(ErrorCode.NO_AUTH_ERROR, "拦截的 key 不能为空");
        }
        // 获取拦截字段
        String keyAttr;
        if (key.equals("default")) {
            keyAttr = "SystemUid" + StpUtil.getLoginId().toString();
        } else {
            keyAttr = getAttrValue(key, jp.getArgs());
        }
​
        log.info("aop attr {}", keyAttr);// 黑名单拦截
        if (blacklistInterceptor.protectLimit() != 0 && null != blacklist.getOrDefault(keyAttr, null) && (blacklist.getOrDefault(keyAttr, 0L) > blacklistInterceptor.protectLimit()
                ||blacklist.getOrDefault(remoteHost, 0L) > blacklistInterceptor.protectLimit())) {
            log.info("有小黑子被我抓住了!给他 24 小时封禁套餐吧:{}", keyAttr);
            return fallbackMethodResult(jp, blacklistInterceptor.fallbackMethod());
        }// 获取限流
        RRateLimiter rateLimiter;
        if (!userRateLimiters.asMap().containsKey(keyAttr)) {
            rateLimiter = redisson.getRateLimiter(keyAttr);
            // 设置RateLimiter的速率,每秒发放10个令牌
            rateLimiter.trySetRate(RateType.OVERALL, blacklistInterceptor.rageLimit(), 1, RateIntervalUnit.SECONDS);
            userRateLimiters.put(keyAttr, rateLimiter);
        } else {
            rateLimiter = userRateLimiters.getIfPresent(keyAttr);
        }// 限流拦截
        if (rateLimiter != null && !rateLimiter.tryAcquire()) {
            if (blacklistInterceptor.protectLimit() != 0) {
                //封标识
                blacklist.put(keyAttr, blacklist.getOrDefault(keyAttr, 0L) + 1L);
                //封 IP
                blacklist.put(remoteHost, blacklist.getOrDefault(remoteHost, 0L) + 1L);
            }
            log.info("你刷这么快干嘛黑子:{}", keyAttr);
            return fallbackMethodResult(jp, blacklistInterceptor.fallbackMethod());
        }// 返回结果
        return jp.proceed();
    }private Object fallbackMethodResult(JoinPoint jp, String fallbackMethod) throws NoSuchMethodException, InvocationTargetException, IllegalAccessException {
        Signature sig = jp.getSignature();
        MethodSignature methodSignature = (MethodSignature) sig;
        Method method = jp.getTarget().getClass().getMethod(fallbackMethod, methodSignature.getParameterTypes());
        return method.invoke(jp.getThis(), jp.getArgs());
    }/**
     * 实际根据自身业务调整,主要是为了获取通过某个值做拦截
     */
    public String getAttrValue(String attr, Object[] args) {
        if (args[0] instanceof String) {
            return args[0].toString();
        }
        String filedValue = null;
        for (Object arg : args) {
            try {
                if (StringUtils.isNotBlank(filedValue)) {
                    break;
                }
                filedValue = String.valueOf(this.getValueByName(arg, attr));
            } catch (Exception e) {
                log.error("获取路由属性值失败 attr:{}", attr, e);
            }
        }
        return filedValue;
    }/**
     * 获取对象的特定属性值
     *
     * @param item 对象
     * @param name 属性名
     * @return 属性值
     * @author tang
     */
    private Object getValueByName(Object item, String name) {
        try {
            Field field = getFieldByName(item, name);
            if (field == null) {
                return null;
            }
            field.setAccessible(true);
            Object o = field.get(item);
            field.setAccessible(false);
            return o;
        } catch (IllegalAccessException e) {
            return null;
        }
    }/**
     * 根据名称获取方法,该方法同时兼顾继承类获取父类的属性
     *
     * @param item 对象
     * @param name 属性名
     * @return 该属性对应方法
     * @author tang
     */
    private Field getFieldByName(Object item, String name) {
        try {
            Field field;
            try {
                field = item.getClass().getDeclaredField(name);
            } catch (NoSuchFieldException e) {
                field = item.getClass().getSuperclass().getDeclaredField(name);
            }
            return field;
        } catch (NoSuchFieldException e) {
            return null;
        }
    }
​
​
}

这段代码主要实现了几个方面:

  • 获取限流对象的唯一标识。如用户 Id 或者其他。
  • 将标识来获取是否触发限流 + 黑名单 如果是这两种的一种,直接触发预先设置的回调(入参要跟原本接口一致喔)。
  • 通过反射来获取回调的属性以及方法名称,触发方法调用。
  • 封禁 标识 、IP 。

代码测试

@BlacklistInterceptor(key = "title", fallbackMethod = "loginErr", rageLimit = 1L, protectLimit = 10)
    @PostMapping("/login")
    public String login(@RequestBody UrlRelateAddRequest urlRelateAddRequest) {
        log.info("模拟登录 title:{}", urlRelateAddRequest.getTitle());
        return "模拟登录:登录成功 " + urlRelateAddRequest.getTitle();
    }public String loginErr(UrlRelateAddRequest urlRelateAddRequest) {
        return "小黑子!你没有权限访问该接口!";
    }
  • key:需要拦截的标识,用来判断请求对象。
  • fallbackMethod:回调的方法名称(这里需要注意的是入参要跟原本接口保持一致)。
  • rageLimit:每秒限制的访问次数。
  • protectLimit:超过每秒访问次数+1,当请求超过 protectLimit 值时,进入黑名单封禁 24 小时。

以下是具体操作截图:

Snipaste_2024-05-23_11-28-41.png

到这里这个黑名单的拦截基本就实现啦,大家还有什么具体的补充点都可以提出来,一起学习一下,经过这次”恐吓风波“,让我知道互联网上的人戾气还是很重的,只要坚持好做自己,管他别人什么看法!!

我是聪ζ希望可以跟大家一起学习,我的 Github:https://github.com/lhccong,如果里面有你感兴趣的项目不妨给我点个星星⭐和关注🔥,未来我还会持续写新的好玩的小项目。

参考文章:https://juejin.cn/post/7309921545638854665

聪ζ
关注
  • 6
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
这样使用JMeter压测,将你的网站带入深渊!JMeter压测让你的服务器瞬间炸裂
m0_60054525的博客
03-30 524
学完这整套教程,拿下大厂30k到50k不是问题。2:全栈性能测试,监控以及调优。5:devops持续集成部署。9:全栈系列课企业项目实战。3:全栈测试开发平台实战。4:全栈安全测试渗透测试。6:全栈接口测试工具进阶。7:跨平台自动化测试工具。8:大厂简历,真题,录音。
queerrights-en:这是一个静态的英语静态网站,用于揭穿伪科学和恐吓同性恋者的行为
04-09
同性恋权利! 这是一个静态的英语站点,用于揭穿伪科学和恐吓同性恋者的行为。
DDOS攻击压力测试与防御工具
weixin_48731086的博客
03-07 1486
DDOS在进行攻击的时候,可以对源IP地址进行伪造,这样就使得这种攻击在发生的时候隐蔽性是非常好的,同时要对攻击进行检测也是非常困难的,因此这种攻击方式也成为了非常难以防范的攻击。 包含: 1.智能集成压测工具 2.防御性流量清洗 优势: 抛开繁琐多工具操作的麻烦,简易化智能化,一键即达。 ...
用ab压测工具搞垮目标网站
liyanhui1001的专栏
03-01 735
怎样用ab压测工具搞垮目标网站
常见的压力测试方式总结
热门推荐
煜铭2011
09-24 1万+
hping3 -S --flood -V 1.1.1.2 hping3 -S -U --flood -V --rand-source 1.1.1.2
网络攻击/压测工具
answer3lin的博客
12-20 2040
wrk dns flood anysend hping3 iperf ab 连接数
网站VIP会员服务协议.doc
11-24
网站VIP会员服务协议 本文档详细介绍了网站VIP会员服务协议的所有条款和义务。 VIP会员服务协议的目的是为了更好地为广大原创音乐爱好者提供一个结识同行、切磋专业、拓展专业视野、互动学习、增加个人机遇的空间。...
小学有关童年趣事的作文小时候的我真傻.docx
03-09
2. **家庭教育与沟通**:文中母亲通过恐吓的方式让孩子少吃泡泡糖,这种教育方法可能并不科学,但反映出家长对孩子的关心。同时,当孩子遇到问题时,母亲的耐心询问和解释帮助孩子消除了恐惧,体现了良好的亲子沟通...
小学数学数学故事一封恐吓
09-09
火灾发生在深夜,王小姐被发现死亡,死因是被刀刺中心脏,且房间内有定时引火装置,表明这是一起预谋犯罪。郑小姐作为目击者,提供了她发现火灾的情景,而李先生则提供了一封恐吓信,这封信的内容暗示了他知道王小姐...
网站推广之软文写作与发布技巧样本.doc
12-17
网站推广之软文写作与发布技巧样本 软文写作是一种特殊的写作形式,它不同于传统的广告形式,软文写作的目的是通过文章的形式将企业或产品的信息传递给读者,从而达到宣传和销售的目的。软文写作的技巧很多,包括...
DoS攻击实现/压力测试
hxxjxw的博客
04-28 6601
DoS攻击,即Denial of Service攻击(拒绝服务攻击). DDoS攻击,DistributedDenial of Service(分布式拒绝服务攻击) 看到网上很多人把DoS攻击错认为DDoS攻击,并且DoS攻击和DOS操作系统是没有任何关系的,只不过凑巧缩写的字母一样,后者是Disk OperatingSystem(磁盘操作系统) ...
DDOS攻击-压力测试工具webbench
小小的木头人的博客
09-20 7140
安装过程 [root@node1 ~]# yum install httpd ... [root@node1 ~]# yum install -y gcc ctags [root@node1 ~]# wget http://www.ha97.com/code/webbench-1.5.tar.gz [root@node1 ~]# tar -xvf webbench-1.5.tar.gz [r...
nginx防御ab,webbench,jmeter攻击
程序驱动人生
08-02 2268
类似于ab,webbench,jmeter等这种压力测试工具,也是一种攻击方式,通过制造大量的并发请求,耗尽服务器资源。 对于一般中小型网站,很可能一句 webbench -c 30000 -t 500 http://hostname/就能让服务器挂掉. 该如何防御? 原理是通过http_user_agent 来判断。 apache ab的http_user_agent 为
Java基础(6)- Java代码笔记3
weixin_47062560的博客
08-30 3239
数据类型[][] 数组名 = new 数据类型[m][n]数据类型 数组名[][] = new 数据类型[m][n]数据类型[] 数组名[] = new 数据类型[m][n]m:代表二维数组长度n:代表二维数组中每个一维数组的长度。
JAVA基础:数据类型、命名规范
weixin_53755148的博客
09-05 1138
变量类型就是用来指定变量中存储数据的类型。也称为数据类型。
浅析synchronized锁升级的原理与实现 1
水w的博客
09-01 1244
浅析synchronized锁升级的原理与实现
基于JavaWeb开发的JavaSpringboot+Vue实现前后端分离房屋租赁系统
最新发布
央顺科技官方博客
09-05 417
2021年处于信息科技高速发展的大背景之下。在今天,缺少手机和电脑几乎已经成为不可能的事情,人们生活中已经难以离开手机和电脑。针对增加的成本管理和操作,各大商家非常有必要建立自己的网上房屋租赁平台系统,这既可以让更多的人体验到网络所带来的方便,也有助于提高房屋的租赁。在经过几十年的高速发展后,互联网已成为最流行、最普及的媒体,每天的信息流量甚至能比得上过去十年。其以便捷的信息交换、快速的沟通速度,悄然地改变着会员的消费方式。
计算机毕业设计选题推荐-任务管理系统-项目任务分配系统-Java/Python项目实战
IT研究室的博客
09-03 801
随着信息化技术的迅猛发展,各类企业和组织越来越依赖于高效的任务管理系统以保证其日常运营的顺利进行。根据IDC(国际数据公司)发布的报告显示,全球企业在数字化转型上的投入已达数千亿美元,其中相当一部分资金用于提升企业内部的管理效率。任务管理系统作为企业信息化的重要组成部分,能有效帮助企业分配、监控和反馈任务,从而提高工作效率。然而,尽管市场上已有多种任务管理系统,它们在功能、用户体验和适用性上存在显著差异。
在工作中与同事发生争吵后导致在外面被追打怎么办?
05-24
这是非IT类问题,但我可以根据一些通用的建议来回答你。 首先,如果你被追打,你应该立即报警。保护好自己的安全是最重要的。 其次,要尽快联系公司的HR或者直接向上级领导反映情况,让公司采取相应的措施来保护你的利益和安全。 同时,要尽可能收集相关证据,例如记录争吵的过程、保留对方的恐吓信息等,以备备案和调查使用。 最后,在工作中尽量避免和同事产生激烈的争吵,保持良好的沟通和合作,以减少类似事件的发生。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值